这个病毒如何清除Backdoor Tompai.i 急等！！！【求助】 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛这个病毒如何清除Backdoor Tompai.i 急等！！！【求助】

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

2 / 2 页

跳转页

这个病毒如何清除Backdoor Tompai.i 急等！！！【求助】

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2006-05-13 00:02 \| 短消息资料字号：小中大 11楼先找到这几个文件： C:\WINDOWS\mapserver.exe c:\windows\system\mainsv.exe C:\WINDOWS\System32\pucivce.exe 用WINRAR压缩打包（加解压密码virus），然后发到baohe版主的邮箱baohelin@yahoo.com.cn，说明一下情况，让版主帮你看看。刚刚在百度上搜了一下这几个文件，好像是很变态的木马。
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2006-05-13 00:07 \| 短消息资料字号：小中大 12楼病毒特征（卡巴的病毒名Backdoor.Win32.Tompai.b）修改注册表2处位置以保证自启动，两处注册表位置： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 感染硬件设备的根目录，包括移动设备（U盘、移动硬盘）生成文件：autorun.inf 和 iexplores.exe，文件属性：隐藏、系统在系统目录生成如下文件：以 WINDOWS XP 为例 WINDOWS\mapserver.exe WINDOWS\SYSTEM\mainsv.exe WINDOWS\SYSTEM\ptsnopt.exe 病毒激活后会自动、定时检测文件夹属性设置，如不符合以下设置，则更改为：不显示隐藏文件和文件夹、隐藏已知文件类型扩展名、不显示受保护的操作系统文件
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

碧海蓝天红瓦绿树初生襁褓狮帖子:33 注册: 2005-12-25 来自:	发表于： 2006-05-16 17:22 \| 只看楼主短消息资料字号：小中大 13楼我在安全模式下，用瑞星杀毒，后又在注册表里删除各项，重启后病毒依然存在......痛苦呀！！！！！！！难道说，这个病毒就没有办法清除吗？
碧海蓝天红瓦绿树初生襁褓狮帖子:33 注册: 2005-12-25 来自:

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2006-05-16 17:40 \| 短消息资料字号：小中大 14楼 1。关闭系统还原 2。进入安全模式用杀软全盘查杀或手工删除病毒文件（注意autorun.inf 和 iexplores.exe在每个非系统盘符中都有，必须右键点“打开”打开D盘等盘，而不能双击，否则又会激活病毒） 3。查看任务管理器，看其中是否还有iexplores.exe在运行，注意区别iexplore和explore两个正常进程，如有，终止该进程 4。在注册表项中 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 删除C:\WINDOWS\driver.com所在值项以及删除： [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <Ntcheck><C:\WINDOWS\mapserver.exe> [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] <Cmpnt><c:\windows\system\mainsv.exe> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <pucivce><C:\WINDOWS\System32\pucivce.exe> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] <Shell><c:\windows\system\mainsv.exe> 删除HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Doom 5。重新启动系统。以上是网上找到的一些方法结合楼主的实际情况加以修改后的方法。楼主是否已将病毒文件发送给baohe版主（注意一定要加密码)?
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

碧海蓝天红瓦绿树初生襁褓狮帖子:33 注册: 2005-12-25 来自:	发表于： 2006-05-16 17:51 \| 只看楼主短消息资料字号：小中大 15楼【回复“轩辕小聪”的帖子】谢谢你的回复！我的操作步骤如下： 1、系统还原已关闭。 2、在安全模式下用正版瑞星杀毒，显示“清除成功”。 3、在任务管理器中没有iexplores.exe。 4、在注册表中删除了各项。重启后，病毒仍然存在。难道说，我在上述步骤中还有遗漏吗？
碧海蓝天红瓦绿树初生襁褓狮帖子:33 注册: 2005-12-25 来自:

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2006-05-16 17:54 \| 短消息资料字号：小中大 16楼网上的方法不一定全面按10楼的，把这几个文件打包发给baohe版主，让他帮你看看如何彻底查杀。
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

碧海蓝天红瓦绿树初生襁褓狮帖子:33 注册: 2005-12-25 来自:	发表于： 2006-05-16 21:17 \| 只看楼主短消息资料字号：小中大 17楼现已打包加密发送给了版主，不知道他能否看到.....等待ing！！另外，我想问一句，关于这个病毒现在还没有专杀工具吗？如果有，还望告知，谢谢！！！
碧海蓝天红瓦绿树初生襁褓狮帖子:33 注册: 2005-12-25 来自:

<<上一主题|下一主题>>

12

2 / 2 页

跳转页

页面顶部

Powered by Discuz!NT